统消息与收集器中预存的与发送此系统消息的传感器 所对应的规则文件进行匹配,匹配结果包括匹配成功和匹配失败,如匹配成功进行进一步 的归一化处理,如匹配失败,即,收集器中预存的规则文件中,没有与之对应的规则条目,可 能是一个没有被规则文件预先定义的系统消息,也可能是一个传感器发送的错误代码信 息。
[0065] S204,判断和预存的与其他传感器对应的规则文件是否匹配,如是,跳至步骤 S206,如否,接步骤205。
[0066] 具体的,当收集器将系统消息与收集器中预存的与发送此系统消息的传感器所对 应的规则文件进行匹配,匹配失败后,收集器将系统消息进一步与预存的其他传感器对应 的规则文件进行匹配,进而提高系统消息匹配成功率。
[0067] S205,放入不匹配系统消息记录。
[0068]具体的,如系统消息与预存的其他传感器对应的规则文件匹配也不成功时,收集 器将此系统消息放入不匹配系统消息记录中,以便后续进行相应规则文件的完善,或者用 于发现传感器的隐藏故障等。
[0069] S206,进行归一化处理生成归一化消息。
[0070] 具体的,当系统消息与规则文件匹配成功时,收集器将系统消息进行进一步的归 一化处理。
[0071] 可以理解的是,所述的匹配成功进行处理,包括匹配成功,进一步进行归一化处理 生成归一化消息,还包括匹配成功,此系统消息不需要进一步处理,可以丢弃。
[0072] 归一化消息的生成同第一实施例的步骤S103,不再详述。
[0073] 优选的,对系统消息进行规则文件匹配时,根据系统消息内事件的级别,事件类型 和事件的具体内容,对不同的规则条目进行不同级别的划分,以便对规则文件进行更好的 管理。
[0074]举例说明,本发明提供使用class(类别),subclass(子类别),fami ly(特性)三个 事件级别属性代表归一化事件的三级分类,系统消息与规则条目进行逐级匹配,方便进一 步的监控和管理。
[0075]优选的,本发明还提供对系统消息中不同的时间格式进行归一化处理的方法,在 系统消息中,事件格式包括数字格式和字符串格式,其中数字格式的时间包括:毫秒形式时 间,秒形式时间,负数格式时间,字符串格式的时间包括:年月日,月日年,另外,也包括数字 或字符串格式的缩写形式,在进行系统消息归一化处理的过程中,需要对不同的时间格式 进行归一化处理为一种统一的时间格式。
[0076] S207,判断是否满足合并条件。
[0077] 具体的,收集器生成归一化消息后,本发明还提供合并归一化消息的功能。由于系 统消息由不同的事件触发,相同事件在一定时间范围内发生,导致相同的归一化消息频繁 产生,如果不进行进一步的合并处理,会导致局域网内网络资源的浪费,也不利于问题的分 析和监控管理的需要。
[0078] 可以理解的是,合并归一化消息需要设定一定的时间范围,超出预设时间范围内 的归一化消息没有合并的价值,可以通过预设一定的时间范围,将在此时间范围内满足合 并条件的归一化消息进行合并,本发明还提供的一种更优选的方法是,在收集器生成了归 一化消息并且进行输出后,会将发送的归一化消息进行缓存,在一定的时间段内,如120秒 内,新产生的归一化消息会首先与已经发送的归一化消息进行比较,如满足一定的合并条 件,则等待下一条相同归一化消息的产生并进行合并。
[0079] 本发明提供的合并的条件为,包括至少一个归一化属性,如包括自定义事件类型, 传感器类型,传感器IP,源IP和目的IP,当所述的五个归一化属性均相同时,收集器将两个 归一化消息进行合并。
[0080] S208,合并处理生成合并消息。
[0081] 具体的,将进行合并的第一个归一化消息中的事件发生时间确定为合并消息中的 事件发生时间,
[0082] 将进行合并的最后一个归一化消息中的事件结束时间确定为合并消息中的事件 结束时间,
[0083] 将合并的所有归一化消息中的事件发生次数相加得到的和确定为合并消息中的 事件发生次数。
[0084] 合并相同的归一化消息,大大减少了收集器需要输出的归一化消息的个数。
[0085] S209,输出归一化消息或合并消息。
[0086]具体的,收集器按照预设的一定的输出规则输出归一化消息或合并消息,进行后 续的处理和显示,此处不再详述。
[0087]本实施例所提供的系统消息的处理方法,在第一实施例的基础上,进一步提供了 统一系统消息的字符编码,以及将归一化消息进行合并的功能,使得系统消息的管理更加 规范和完善,提高了网络资源利用率,并方便后续的进一步监控和管理。
[0088]图3为本发明提供的应用于第二实施例的收集器的结构示意图,图3所示的本发明 提供的应用于第二实施例的收集器包括:
[0089]接收模块301,用于接收传感器发送的系统消息。
[0090] 编码统一模块302,用于将具有不同的字符编码方式的系统消息转换为具有统一 的字符编码方式的系统消息。
[0091] 匹配模块303,用于将所述系统消息和与预存的与所述传感器一一对应的规则文 件进行匹配,所述规则文件包括至少一个规则条目,所述规则条目为系统消息与相应的处 理规则之间的对应关系,具体用于在匹配成功的系统消息中直接提取的提取属性,和收集 器根据所述匹配成功的系统消息进行回填的回填属性,所述系统消息为传感器根据不同的 系统事件生成的自定义的事件记录消息,所述提取属性包括:帐号,源IP,源端口,目的IP, 目的端口,协议类型,事件发生时间,事件结束时间,事件发生次数,事件摘要,访问的网站, 访问的DNS,整形保留属性,字符串类型保留属性,所述回填属性包括:归一化事件级别,客 户ID,自定义事件ID,自定义事件类型,传感器ID,传感器IP,传感器掩码,传感器类型,收集 器ID,收集器IP,系统消息接收时间,原始日志。具体用于根据匹配成功的系统消息中自定 义的事件类型和预设的归一化事件级别对应关系,确定归一化事件级别,所述预设的归一 化事件级别对应关系,为匹配成功的系统消息中的自定义的事件类型和归一化事件级别之 间一一对应的关系。具体用于当收集器接收到的系统消息与预存的与所述传感器一一对应 的规则文件不匹配时,收集器将接收到的系统消息与预存的其他传感器对应的规则文件进 行匹配。
[0092]归一化模块304,用于将匹配的系统消息进行归一化处理,生成与所述系统消息一 一对应的归一化消息,所述归一化消息为具有统一的归一化属性的事件记录。
[0093]合并模块305,用于在预设时间范围内将具有至少一个归一化属性内容相同的多 个归一化消息合并,生成合并消息,所述合并消息为与归一化消息具有统一的归一化属性 的事件记录,所述合并消息为与归一化消息具有统一的归一化属性的记录。具体用于所述 至少一个归一化属性包括自定义事件类型,传感器类型,传感器IP,源IP和目的IP,所述合 并生成合并消息包括:将进行合并的第一个归一化消息中的事件发生时间确定为合并消息 中的事件发生时间,将进行合并的最后一个归一化消息中的事件结束时间确定为合并消息 中的事件结束时间,将合并的所有归一化消息中的事件发生次数相加得到的和确定为合并 消息中的事件发生次数。
[0094]输出模块306,具体用于输出所述归一化消息和合并消息。
[0095]本实施例所提供的收集器,能够将局域网中不同设备发送的系统消息,按照预设 的规则进行匹配,并生成具有统一的归一化属性的归一化消息,还提供统一系统消息的字 符编码,以及将归一化消息进行合并的功能,实现了不同设备间,不同生产厂商间的系统消 息的集中监控和管理,使得系统消息的管理更加规范和完善,提高了网络资源利用率,并方 便后续的进一步监控和管理。
[0096]在本申请所提供的实施例中,应该理解到,所揭露的